Security News

O que você precisa saber sobre apps de rastreamento | Avast

David Strom, 2 Junho 2020

Muitos países planejam ou já implementaram aplicativos de rastreamento baseados em smartphones. Como isso interfere na sua privacidade?

Diversos países planejam ou já implementaram aplicativos de rastreamento baseados em smartphones. Os aplicativos são desenvolvidos para que agências sanitárias possam ver as pessoas que estiveram perto de alguém infectado e, assim, coletar dados sobre o avanços da doença. Vamos falar sobre o que você precisa saber no que se refere a esses aplicativos e como definir sua própria estratégia de segurança.

Há diversos fatores complicantes:

Primeiro, como a coleta desses dados é feita e quem tem acesso a eles? Por quanto tempo a agência mantém esses dados de localização? Para evitar invasões de privacidade, os aplicativos devem ter algum reforço de segurança. A maioria armazena os dados coletados apenas no dispositivo do usuário, por exemplo. A União Americana pelas Liberdades Civis* (ACLU, da sigla em inglês), ONG que defende os direitos e liberdades individuais nos EUA, teme que esses dados não sejam precisos e que isso acabe provocando outros problemas de privacidade.

Mesmo que os aplicativos tenham vários protocolos de criptografia e camadas de segurança, alguns são melhores que outros. O objetivo aqui é anonimizar os dados dos usuários e manter cibercriminosos bem longe dessa história. Claro que nenhum sistema é 100% seguro. Notícias recentes revelam a invasão de um potencial aplicativo de rastreamento holandês*, que foi lançado antes da hora.

Segundo, todos os dados de rastreamento no mundo são inúteis sem a realização de inúmeros testes do paciente e rastreamento do contato. Muitos países, como os EUA, não conseguiram testar um número suficiente de pessoas para saber quem está contaminado e quem não está. Este estudo de Harvard* aborda alguns dos pontos sobre quantos testes são necessários para que um rastreamento seja eficaz. O ponto é que milhões de pessoas precisam ser testadas diariamente para que seja realmente possível rastrear a doença. E mesmo que esse obstáculo fosse superado, uma agência sanitária precisa ter mão de obra para acompanhar e rastrear esses contatos para determinar quais comunidades estão em risco.

Um terceiro ponto fraco desses aplicativos é que eles dependem das redes GPS. Isso limita a sua utilidade, já que não é realmente possível definir a localização precisa de alguém. Quantos de nós não acabou caindo em alguma rua suspeita por seguir as instruções equivocadas de um aplicativo de GPS? Tornar os aplicativos mais precisos significa que é necessário realizar uma checagem cruzada com outros dados, como as localizações mais comuns de cada usuário ou as verificações de Bluetooth de usuários próximos. Por exemplo, Taiwan faz com que cada usuário ligue para o departamento de saúde e verifique seu próprio histórico de localização em um repositório central. Em caso de cruzamento suspeito, é solicitado que a pessoa faça um teste para COVID-19.

Finalmente, não é só porque você tem um aplicativo de smartphone que todos irão usá-lo. Alguns países, como a China, exigem que todos que entrem no país baixem o aplicativo e correlacionem seus aparelhos com as informações do passaporte. Outros não têm tido muito sucesso. Em Singapura, por exemplo, somente um pequeno número de pessoas utilizam o aplicativo. Depende muito da cultura, do tipo de governo e da confiança no que o governo anuncia sobre o vírus. Nada disso está relacionado com a própria tecnologia em uso.

Esta página da Wikipedia* lista mais de uma dúzia de países em que aplicativos foram implementados. A Índia implementou diversos aplicativos de diferentes agências governamentais. Há também aplicativos disponíveis na China*, Israel*, Noruega, Gana, República Tcheca* e Austrália*.

Mas essa situação avança rapidamente. O que ajuda (ou atrapalha, dependendo do seu ponto de vista) é que há quatro esforços distintos sendo desenvolvidos, combinando iniciativas de código aberto e fechado:

  • A mais conhecida delas é um trabalho conjunto do Google/Alphabet com a Apple*, que está mais para um quadro normativo do que exatamente um aplicativo. Vaughan-Nichols explica os mecanismos presentes*, enquanto a Verge responde algumas das questões* sobre esse esforço. O Reino Unido pretende testar em breve seu aplicativo com base nessa plataforma. Ambos os fornecedores declararam que esses protocolos serão incorporados em futuros lançamentos para Android e iOS, que devem estar disponíveis no meio do ano
     
  • A iniciativa europeia de código aberto chamada DP-3T desenvolveu uma referência de implementação em Apache/Python no Github*. Há modelos de aplicativos também para Android e iOS
     
  • Outra parceria, também dentro da União Europeia (UE), é baseada em código fechado. Chamada de PEPP-PT*, a iniciativa conta com o apoio de 130 organizações em oito países. Até onde eu sei, nenhum aplicativo ligado aos esforços da UE ainda está disponível
     
  • Finalmente, há algo chamado Blue Trace/Open Trace*, que é um código aberto desenvolvido por Singapura. Ele faz parte do aplicativo de rastreamento do país, cujo nome é Trace Together (Rastreie junto, em tradução livre). Ele foi lançado no fim de março e é a base de um novo aplicativo australiano.  Singapura pega a informação e a armazena em um repositório central, que também é utilizado no desenvolvimento do Programa de Compra de Emergência Pandêmica (PEPP, da sigla em inglês) europeu.

O que você deve fazer? Primeiro, caso a sua cidade conte com um aplicativo, procure entender o que ele faz e como ele pode ser comprometido. Não se esqueça de conferir as permissões durante a instalação de qualquer aplicativo de rastreamento. A partir daí, saiba que tipo de dado referente a movimento e uso do seu smartphone está sendo coletado.

Segundo, o aplicativo realmente conta com proteção de privacidade como os desenvolvedores afirmam? Um dos motivos que contribuíram para o sucesso da iniciativa da Coreia do Sul é que o aplicativo não mantém nenhum dado privado relacionado à identidade do usuário e só posta o histórico de localização de pacientes que testaram positivo para a doença. Mas há muita coisa para tirar disso. Uma solução mais adequada seria não publicar nenhum dado de localização, mas ter uma forma de "memória para ajudar as pessoas a recuperarem os locais por onde passaram", como sugere a ACLU.

Finalmente, para queles que têm escolha e valorizam a privacidade, não instale nenhum desses aplicativos. Quando os sistemas operacionais dos smartphones forem atualizados, lembre-se de desativar as configurações de “rastreamento do contato”. Alguns aparelhos já receberam a tecnologia...

API_Google-Apple_COVID-19


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.